Micro­soft Security Settings – Zehn Tipps für höhere IT-Sicherheit

|

Die Hacker­an­griffe auf Unter­nehmen nehmen zu und werden immer raffi­nierter. Daher wird IT-Sicher­heit zuneh­mend wichtiger für den erfolg­rei­chen Geschäfts­be­trieb. In unserem heutigen Beitrag möchten wir Ihnen die zehn Security-Tipps von Micro­soft vorstellen, sie reichen von Multi-Faktor-Authen­ti­fi­zie­rung bis hin zu starker Verschlüsselung.

Die Zahl der Hacker-Attacken auf Firmen steigt seit Jahren stetig an. Die Frage ist nicht mehr, ob etwas passiert, sondern wann. Denn Digita­li­sie­rung, stärkere Cloud-Nutzung, die Verla­ge­rung von Arbeits­plätzen ins Homeof­fice oder die zuneh­mende Vernet­zung etwa im Internet der Dinge bieten den Angrei­fern größere Angriffs­flä­chen. Die Bedro­hung nimmt also eher zu als ab. Unter­nehmen müssen daher effizi­ente Security-Prozesse aufbauen, um sich vor Angriffen zu schützen oder schnell reagieren zu können.

Manchmal reichen aber schon relativ einfache Einstel­lungen / Maßnahmen aus, um Cyber­at­ta­cken zu verhin­dern und so Unter­neh­mens­daten besser zu schützen. Im Folgenden geben wir Überblick über die zehn Security-Tipps von Microsoft:

Tipp 1: Multi-Faktor-Authen­ti­fi­zie­rung nutzen

Die Multi-Faktor-Authen­ti­fi­zie­rung (MFA) verlangt von Anwen­dern beim Zugriff auf ihr Benut­zer­konto oder Anwen­dungen neben Benut­zer­namen und Kennwort zusätz­liche Identi­täts­nach­weise (Faktoren). Das können biome­tri­sche Merkmale wie Finger­ab­druck oder Iriser­ken­nung sein, ein Hardware-Token oder ein einma­liges Kennwort (One Time Password), das per E‑Mail, SMS oder Apps, wie die Authen­ti­cator-App von Micro­soft, verschickt oder erzeugt wird. Die MFA erhöht das Schutz­ni­veau, wenn ein Faktor kompro­mit­tiert wird. Cyber­kri­mi­nellen fällt es dann deutlich schwerer, auf vertrau­liche Daten und Anwen­dungen zuzugreifen.

Micro­soft empfiehlt, die Mehr-Faktor-Authen­ti­fi­zie­rung insbe­son­dere auch für privi­le­gierte Benutzer-Accounts wie „Adminis­trator“ oder „root“ vorzu­schreiben. IT-Teams geben über diese Zugänge Daten im Netzwerk frei, instal­lieren Software oder überwa­chen wichtige Netzwerk­ge­räte zum Schutz vor Bedro­hungen. Da sich die privi­le­gierten Nutzer im Inneren der IT-Systeme bewegen, sind die Schäden groß, wenn Unbefugte in den Besitz von adminis­tra­tiven Zugangs­daten gelangen. Denn dann können sie sich in unter­neh­mens­kri­ti­schen Systemen, Appli­ka­tionen und Daten frei bewegen und nach Belieben agieren. Deshalb sollten Unter­nehmen privi­le­gierte Konten beson­ders sichern.

Tipp 2: Blockieren von Legacy-Authentifizierung

Die meisten kompro­mit­tie­renden Anmel­de­ver­suche erfolgen über eine veral­tete Authen­ti­fi­zie­rung. Ältere Office-Clients wie Micro­soft Office 2010 verwenden Legacy-Proto­kolle wie IMAP, SMTP und POP3 und unter­stützen keine modernen Methoden wie die Multi-Faktor-Authen­ti­fi­zie­rung. Selbst wenn in der Umgebung eine MFA-Richt­linie konfi­gu­riert ist, können böswil­lige Angreifer diese Maßnahme über die Legacy-Proto­kolle umgehen. Daher sollten Firmen diese Legacy-Authen­ti­fi­zie­rung mit einer Richt­linie blockieren.

Tipp 3: Passwörter nicht ablaufen lassen

Unter­su­chungen haben ergeben, dass Passwörter unsicherer werden, wenn sie regel­mäßig zurück­ge­setzt bezie­hungs­weise erneuert werden müssen. Benutzer neigen dazu, ein schwä­cheres Passwort zu wählen und es bei jeder Änderung leicht zu variieren. Wenn ein Benutzer ein starkes Kennwort erstellt (lang, komplex, mit Zahl und Sonder­zei­chen), sollte es in 60 Tagen noch genauso stark sein wie zu Beginn. Laut Micro­soft sollten Nutzer Kennwörter nicht ohne beson­deren Grund regel­mäßig wechseln. Der Konzern empfiehlt, vor allem für Cloud-Anwen­dungen die Richt­linie für Kennwörter auf „Nie ablaufen“ einzustellen.

Tipp 4: Zurück­setzen von Kennwör­tern per Selbstbedienung

Firmen sollten laut Micro­soft das Self-Service-Passwort-Reset im Azure Active Direc­tory (AD) aktivieren, damit Anwender nicht mehr den Helpdesk einschalten müssen, um ihre Passwörter zu ändern. Da diese Funktion gut mit dem Kennwort­schutz im Azure AD zusam­men­ar­beitet, werden leicht zu erratende Passwörter verhindert.

Tipp 5: Benut­zer­ri­siko-Richt­linie für bedingten Zugriff beim Anmelden aktivieren

Die meisten Anwender weisen ein „normales“ Verhalten auf, das die Adminis­tra­toren nachver­folgen können. Gibt es hier auffäl­lige Anoma­lien, kann es riskant sein, die Anmel­dung für das entspre­chende Benut­zer­konto zu erlauben. Daher sollten Firmen über das Azure Active Direc­tory Benut­zer­ri­siko-Richt­li­nien für den bedingten Zugriff konfi­gu­rieren, um eine Anmel­dung, die auf ein kompro­mit­tiertes Benut­zer­konto hindeutet, zu sperren oder eine mehrstu­fige Authen­ti­fi­zie­rung zu verlangen. Dann lässt sich beweisen, ob es sich auch wirklich um die Person handelt, die vorge­geben wird.

Tipp 6: Vorsicht bei externen, nicht verwal­teten Anwendungen

Micro­soft empfiehlt, den Zugriff auf integrierte Apps von externen Anbie­tern zu regle­men­tieren und nur notwen­dige Apps zu erlauben, die Sicher­heits­kon­trollen unter­stützen und verwaltet sind. Da externe Anwen­dungen nicht von Micro­soft erstellt werden, besteht die Möglich­keit, dass sie für böswil­lige Zwecke wie dem Ausspähen von Daten verwendet werden. Angreifer können über diese integrierten Apps dauer­haften Zugriff auf die Services von Firmen erhalten, ohne Benut­zer­konten kompro­mit­tieren zu müssen.

Tipp 7: Kunden-Lockbox für Micro­soft Azure aktivieren

Die Kunden-Lockbox für Micro­soft Azure bietet eine Oberfläche, auf der Kunden Anfor­de­rungen nach Zugriff auf Kunden­daten prüfen und dann geneh­migen oder ablehnen können. Das Feature wird in Fällen verwendet, in denen ein Micro­soft-Techniker während einer Support­an­frage auf Kunden­daten zugreifen muss. Die Anfrage ist zeitlich begrenzt, und der Zugriff auf die Inhalte wird blockiert, nachdem der Support-Techniker das Problem behoben hat.

Tipp 8: Mindes­tens zwei globale Adminis­tra­toren bestimmen

Micro­soft 365 bietet eine Reihe von Adminis­tra­tor­rollen, die Firmen ihren Nutzern zuweisen können.  Ein Beispiel ist die des globalen Adminis­tra­tors, der fast unbegrenzt auf die Einstel­lungen, Anwen­dungen und Daten des Unter­neh­mens zugreifen darf. Globale Adminis­tra­toren dürfen beispiels­weise die Kennwörter für alle Benutzer zurück­setzen oder Domänen hinzu­fügen und verwalten. Da nur ein anderer globaler Adminis­trator das Kennwort eines globalen Adminis­tra­tors zurück­setzen kann, empfiehlt Micro­soft, im Unter­nehmen mindes­tens zwei globale Adminis­tra­toren (höchs­tens vier) vorzu­sehen, falls es zu einer Konto­sperre kommt. Über einen weiteren derar­tigen Account können sich die Adminis­tra­toren auch gegen­seitig auf Anzei­chen eines Verstoßes überwachen.

Tipp 9: Adminis­trator-Rechte einschränken

Adminis­tra­toren mit einge­schränkten Rechten haben mehr Rechte als Standard-Nutzer, aber nicht so viele Rechte wie globale Adminis­tra­toren. Sie haben nur Zugriff auf Funktionen, die sie zum Erledigen einer bestimmten Aufgabe benötigen. Beispiele für derar­tige Rollen wären „Kennwort-Adminis­trator“, „Exchange-Online-Adminis­trator“ oder „Helpdesk-Adminis­trator“. Diese einge­schränkten Befug­nisse erhöhen den Schutz von Daten und senken das Risiko.

Tipp 10: Starke Verschlüs­se­lung ohne TLS 1.0/1.1 und 3DES

Die Verschlüs­se­lungs-Proto­kolle TLS 1.0 und TLS 1.1 und das Verschlüs­se­lungs-Verfahren 3DES sind veraltet und daher unsicher. Micro­soft rät daher alle Clients zu prüfen, ob sie TLS 1.0/1.1 und 3DES für die Kommu­ni­ka­tion mit Micro­soft Office 365 verwenden. Firmen sollten ihre Clients aktua­li­sieren und diese schwä­cheren Proto­kolle und Verschlüs­se­lungen deaktivieren.

Sollten Sie Unter­stüt­zung bei der Einrich­tung der Security Einstel­lungen von Micro­soft benötigen, kontak­tieren Sie uns.

Wir unter­stützen Sie gerne.

 

Blogautor



Kontakt zur netunite AG

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG
Lindwurmstraße 97
80337 München

    Pflichtfeld
    Pflichtfeld
     
    Pflichtfeld
     
    Pflichtfeld

    Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung. Akzeptieren